Поделиться через

Обзор Credential Guard

Credential Guard предотвращает атаки на кражу учетных данных, защищая хэши паролей NTLM, билеты на предоставление билетов Kerberos (TGT) и учетные данные, хранящиеся приложениями в качестве учетных данных домена.

Credential Guard использует безопасность на основе виртуализации (VBS) для изоляции секретов, чтобы доступ к ним могли получить только привилегированные системные программы. Несанкционированный доступ к этим секретам может привести к атакам кражи учетных данных, таким как передача хэша и передача билета.

Если этот параметр включен, Credential Guard предоставляет следующие преимущества:

  • Аппаратная безопасность: NTLM, Kerberos и Credential Manager используют преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.
  • Безопасность на основе виртуализации: ntlm, производные учетные данные Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.
  • Защита от сложных постоянных угроз: при защите учетных данных с помощью VBS методы и средства атаки на кражу учетных данных, используемые во многих целевых атаках, блокируются. Вредоносная программа, запущенная в операционной системе с правами администратора, не может извлекать секреты, защищенные С помощью VBS

Примечание.

Хотя Credential Guard — это мощная мера по устранению рисков, постоянные атаки с угрозами, скорее всего, перейдут на новые методы атак, и вам также следует включить другие стратегии и архитектуры безопасности.

Включение по умолчанию

Важно.

Windows Server 2025 доступна в предварительной версии. Эта информация относится к предварительной версии продукта, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении предоставленной здесь информации.

Начиная с Windows 11, 22H2 и Windows Server 2025 (предварительная версия), VBS и Credential Guard включены по умолчанию на устройствах, соответствующих требованиям.

По умолчанию включена блокировка UEFI, что позволяет администраторам при необходимости удаленно отключить Credential Guard.

Если credential Guard включен, VBS также включается автоматически.

Примечание.

Если Credential Guard явно отключен до обновления устройства до Windows 11 версии 22H2 или Windows Server 2025 (предварительная версия) или более поздней, включение по умолчанию не перезаписывает существующие параметры. Это устройство будет по-прежнему отключать Credential Guard даже после обновления до версии Windows, которая включает Credential Guard по умолчанию.

Включение по умолчанию в Windows

На устройствах под управлением Windows 11, 22H2 или более поздних версий credential Guard включена по умолчанию, если они:

Примечание.

Устройства под управлением Windows 11 Pro/Pro Edu 22H2 или более поздней версии могут автоматически включить безопасность на основе виртуализации (VBS) и (или) Credential Guard, если они соответствуют другим требованиям для включения по умолчанию и ранее запускали Credential Guard. Например, если Credential Guard был включен на корпоративном устройстве, которое позже было понижено до Pro.

Чтобы определить, находится ли устройство Pro в этом состоянии, проверьте, существует ли следующий раздел реестра: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. В этом сценарии, если вы хотите отключить VBS и Credential Guard, следуйте инструкциям, чтобы отключить безопасность на основе виртуализации. Если вы хотите отключить только Credential Guard, не отключая VBS, используйте процедуры для отключения Credential Guard.

Включение по умолчанию в Windows Server

На устройствах под управлением Windows Server 2025 (предварительная версия) или более поздних версий Credential Guard включена по умолчанию, если они:

Важно.

Сведения об известных проблемах, связанных с включением по умолчанию, см. в разделе Credential Guard: известные проблемы.

Системные требования

Для обеспечения защиты Credential Guard устройство должно соответствовать определенным требованиям к оборудованию, встроенному ПО и программному обеспечению.

Устройства, которые превышают минимальные требования к оборудованию и встроенному ПО, получают дополнительную защиту и более защищены от определенных угроз.

Требования к оборудованию и программному обеспечению

Для Credential Guard требуются следующие функции:

Хотя и не требуется, для обеспечения дополнительной защиты рекомендуется использовать следующие функции:

  • Доверенный платформенный модуль (TPM), так как он обеспечивает привязку к оборудованию. Поддерживаются версии TPM 1.2 и 2.0, либо дискретные, либо встроенные.
  • Блокировка UEFI, так как она не позволяет злоумышленникам отключить Credential Guard с изменением раздела реестра

Подробные сведения о защите для повышения безопасности, связанные с параметрами оборудования и встроенного ПО, см. в статье Дополнительные требования к безопасности.

Credential Guard на виртуальных машинах

Credential Guard может защищать секреты на виртуальных машинах Hyper-V так же, как и на физическом компьютере. Если credential Guard включен на виртуальной машине, секреты защищаются от атак внутри виртуальной машины. Credential Guard не обеспечивает защиту от привилегированных системных атак, происходящих с узла.

Требования к запуску Credential Guard на виртуальных машинах Hyper-V:

  • Узел Hyper-V должен иметь IOMMU
  • Виртуальная машина Hyper-V должна быть поколения 2

Примечание.

Credential Guard не поддерживается на виртуальных машинах Hyper-V или Azure поколения 1. Credential Guard доступен только на виртуальных машинах 2-го поколения.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Credential Guard:

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Нет Да Нет Да

Права на лицензии Credential Guard предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Нет Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Требования к приложениям

Если Credential Guard включен, некоторые возможности проверки подлинности блокируются. Приложения, которым требуются такие возможности, прерываются. Эти требования называются требованиями к приложениям.

Приложения должны быть протестированы перед развертыванием, чтобы обеспечить совместимость с ограниченными функциональными возможностями.

Warning

Не рекомендуется включать Credential Guard на контроллерах домена. Credential Guard не обеспечивает дополнительную безопасность для контроллеров домена и может вызвать проблемы совместимости приложений на контроллерах домена.

Примечание.

Credential Guard не обеспечивает защиту для базы данных Active Directory или диспетчера учетных записей безопасности (SAM). Учетные данные, защищенные с помощью Kerberos и NTLM при включенном Credential Guard, также находятся в базе данных Active Directory (на контроллерах домена) и SAM (для локальных учетных записей).

Приложения прерываются, если им требуется:

  • Поддержка шифрования Kerberos DES
  • Неограниченное делегирование Kerberos
  • Извлечение TGT Kerberos
  • NTLMv1

Приложения запрашивают и подвергают учетные данные риску, если им требуется:

  • Дайджест-проверка подлинности
  • Делегирование учетных данных
  • MS-CHAPv2
  • CredSSP

Приложения могут вызвать проблемы с производительностью при попытке подключить изолированный процесс LSAIso.exeCredential Guard .

Службы или протоколы, использующие Kerberos, такие как общие папки или удаленный рабочий стол, продолжают работать и не затрагиваются Credential Guard.

Дальнейшие действия